Vous pouvez définir des filtres d’URL LDAP pour le Serveur de connexion afin d’identifier un utilisateur AD qui ne dispose pas d’un UPN AD.

Vous devez utiliser ADAM ADSI Edit sur un hôte du Serveur de connexion. Vous pouvez vous connecter en tapant le nom unique DC=vdi, DC=vmware, DC=int. Développez OU=Properties et sélectionnez OU=Authenticator.

Vous pouvez ensuite modifier l’attribut pae-LDAPURLList pour ajouter un filtre d’URL LDAP.

Par exemple, ajoutez le filtre suivant :

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)

Le Serveur de connexion utilise les filtres d’URL LDAP par défaut suivants :

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

Si vous définissez un filtre d’URL LDAP, le Serveur de connexion utilise ce filtre d’URL LDAP et n’utilise pas le filtre d’URL LDAP par défaut pour identifier l’utilisateur.

Exemples d’identificateurs que vous pouvez utiliser pour l’authentification SAML pour un utilisateur AD ne disposant pas d’un nom d’utilisateur principal (UPN) AD :

  • "cn"
  • "mail"
  • "description"
  • "givenName"
  • "sn"
  • "canonicalName"
  • "sAMAccountName"
  • "member"
  • "memberOf"
  • "distinguishedName"
  • "telephoneNumber"
  • "primaryGroupID"

Les filtres d'URL LDAP ne sont pas pris en charge pour les utilisateurs de domaines non approuvés.